昨天參加iThome主辧的2024數位政府高峰會展覽站攤,大會有集點活動,我以為可以做一個傻白甜業務,玩著小孩子最喜愛的蓋章,蓋蓋蓋....,突然有位學校的助理教授問我一個問題: 您們這裡寫著有 "預測Prediction" ,請問這是如何預測 ? 經過一陣子比手劃腳,雞同鴨講後,這位助理教授在尋找OT設備的監控方案,期望能 "事先預測風險 "以及能 " 即時防堵"。
一、預先安排的緣份
- 我向他解說,OT與IT的資安監控概念雖然相同,但OT的設備以及Protocol均與IT環境不同,所以在IT資安領域找OT的解決方案較無法切中要點 ; 於是這位助理教授非常開心,他終於知道他一直打轉的原因。
- 展覽中我再次見到他,這次是他出來幫我們解危;我們在中場有抽獎活動,但之後有一位老先生表示他有被抽中,但他的獎品被領走了,而這位助理教授出來幫我們擊退了這位老先生 ; 助理教授說 : 他們抽奬都有唱名三次,没到的就不算,我們許多人都在場,都有看到。
- 這似乎是一個預先安排的緣份 ; 萬事互相效益,有給有得 ; 能將經驗提供給需要的人,確實是一份成就。
二、什麼是預測?
- 預測是指,通過考慮過去和現在的各種事件,來預測未來可能發生的事情。
- 預測是對過去和現在活動的統計分析,以獲得關於未來活動模式的概念。
- 通常被認為是指示與預測相關不確定性程度的良好做法;但請牢記一件事,數據必須是最新的才能準確預測。
三、迪士尼的設備維修預測
3-4年前我開始接觸OT設備監控方案,我讀到一篇迪士尼透過OT監控方案旁聽遊樂場機器設備的網路封包,辨識設備及其弱點,導入工控資安情資IOC,收集設備的運作數值 ; 經過一段機器學習模式之後,啟動異常偵測模式 ; 我在這篇文章中讀到,迪士尼透過每日每日的資料收集分析,可以成功預測出遊樂場設備的風險,在未發生狀況時事先維修更換有狀況的零件,這些預測大大的降低遊樂設備在運作中的狀況產生,降低遊客的負評以及事件的賠償,挽回迪士尼的聲譽。
四、展覽的看板產品是NDR
昨天的展覽是與代理商配合,所以主推NDR產品,而NDR做啥用呢?
- NDR的工作原理與安全攝影機非常相似,不斷掃描網路環境,尋找溜過大門的入侵者。此外,NDR 還可以分析環境和流量以發現潛在問題並開啟自動回應來阻止這些攻擊。
- NDR從防火牆、入侵偵測系統 (IDS)、入侵防禦系統 (IPS)、NetFlow 等資料以及其他網路來源取得資料,也可在實體和虛擬環境中監控流入和流出網路的流量,並將收集的數據儲存和分析。
五、NDR的運作
- 認知建模:由人工智慧的驅動,NDR系統透過模擬和預測網路行為來監控和分析。
- 即時和歷史流量洞察:NDR是傳統網路安全解決方案的重大進步,傳統網路安全解決方案對過去行為的了解有限。
- 上下文感知:上下文驅動的可見性使NDR能夠根據系統對基準網路行為的設定進行深入分析並識別可疑網路行為。
- 整合:NDR通常可以與其他網路安全工具整合,例如端點檢測和回應 (EDR)、安全資訊和事件管理 (SIEM)、安全編排、自動化和回應 (SOAR) 以及防火牆。
- 數據分析:NDR收集和分析數據,可用於安全營運中心SOC的決策和整體運營的資訊。
六、為何需要NDR
- 更高的可見度 : 這在現行資安防護系統採取的策略中,大多是藉由採集跡證,端點偵測,從系統底層來追蹤行為。然而這種做法最大的缺點,就是局限在特定的防守位置,而難以擴及企業整個資訊系統的環境。而透過網路流量偵測與回應的NDR系統,正好從網路環境的層面,透過深度解析封包(DPI),拆解加密流量來識別網路流量保留的跡象,增強可見性,確保當威脅出現時,可以快速將其擊倒或隔離。
- 降低噪音 : NDR 提供的好處不僅限於增強網路安全性,由於NDR在網路行為的背景下分析流量,挾帶自身能夠收取各式事件記錄的優勢,進而取得更為完整的網路威脅分析結果。這些分析減少了 SOC分析師需要檢查的誤報數量。在網路安全專業人員稀缺的情況下,將分析師從這項繁瑣的任務中解放出來可以極大地提高效率和整體安全態勢,因為分析師有更多的時間來深入研究真正的威脅。